2025年AWS认证KMS满足GDPR_HIPAA等合规要求专题试卷及解析.pdfVIP

2025年AWS认证KMS满足GDPR_HIPAA等合规要求专题试卷及解析1

2025年AWS认证KMS满足GDPR_HIPAA等合规

要求专题试卷及解析

2025年AWS认证KMS满足GDPR_HIPAA等合规要求专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSKMS中，以下哪种密钥类型最适合用于满足GDPR要求的数据加密？

A、AWS托管密钥（AWSManagedKeys）

B、客户主密钥（CMK）

C、数据密钥（DataKeys）

D、导入密钥（ImportedKeys）

【答案】B

【解析】正确答案是B。客户主密钥（CMK）允许用户完全控制密钥的生命周期和

访问策略，这是满足GDPR”数据控制者”责任的关键要求。AWS托管密钥由AWS控

制，不符合GDPR对用户控制权的要求；数据密钥是加密数据的临时密钥，不涉及策

略控制；导入密钥虽然由用户生成，但生命周期管理不如CMK灵活。知识点：GDPR

要求数据控制者对加密密钥有完全控制权。易错点：误认为AWS托管密钥更安全，实

际上合规性更强调用户控制权。

2、HIPAA要求对受保护健康信息（PHI）实施加密时，AWSKMS的哪个特性最

符合要求？

A、自动密钥轮换

B、信封加密

C、密钥策略

D、审计日志

【答案】B

【解析】正确答案是B。信封加密是HIPAA安全规则推荐的最佳实践，它使用数据

密钥加密PHI，再用CMK加密数据密钥，既保证安全性又提高性能。自动密钥轮换和

密钥策略是辅助功能，审计日志主要用于合规证明而非加密本身。知识点：HIPAA安

全规则要求实施”地址able”加密措施。易错点：混淆加密实施与合规证明的区别。

3、在AWSKMS中，以下哪种操作会触发CloudTrail日志记录？

A、生成数据密钥

B、使用数据密钥加密数据

C、使用CMK加密数据密钥

D、本地数据解密

【答案】C

2025年AWS认证KMS满足GDPR_HIPAA等合规要求专题试卷及解析2

【解析】正确答案是C。AWSKMS只记录与CMK直接相关的操作，如加密、解密、

生成数据密钥等。使用数据密钥的操作是本地进行的，不会触发KMS的CloudTrail日

志。知识点：KMS审计范围仅限于AWS托管的服务操作。易错点：误认为所有加密

操作都会被记录。

4、对于需要满足PCIDSS要求的支付数据，AWSKMS的哪种配置最合适？

A、使用默认密钥策略

B、启用密钥轮换

C、限制密钥使用范围

D、所有选项都正确

【答案】D

【解析】正确答案是D。PCIDSS要求实施多层安全控制，包括最小权限原则（限

制密钥使用范围）、定期轮换密钥以及严格的策略管理。知识点：PCIDSS要求实施深

度防御策略。易错点：忽视合规要求的综合性。

5、AWSKMS的哪个特性直接支持GDPR的”被遗忘权”？

A、密钥删除

B、密钥禁用

C、密钥轮换

D、密钥导入

【答案】A

【解析】正确答案是A。密钥删除是GDPR”被遗忘权”的技术实现手段，一旦密钥

被删除，加密数据将永久无法解密。禁用密钥只是临时措施，轮换和导入不涉及数据删

除。知识点：GDPR要求数据控制者能够永久删除个人数据。易错点：混淆禁用与删除

的区别。

6、在HIPAA合规场景中，AWSKMS的哪个角色最适合管理PHI加密密钥？

A、AWS根账户

B、IAM管理员

C、合规官

D、安全工程师

【答案】C

【解析】正确答案是C。HIPAA要求指定专人负责PHI安全管理，合规官通常承

担这一职责。根账户权限过大，IAM管理员可能不熟悉医疗合规要求，安全工程师缺

乏合规决策权。知识点：HIPAA要求明确的安全责任分工。易错点：忽视合规角色的

重要性。

7、AWSKMS的哪种密钥状态最符合GD